至顶网安全频道 02月19日 综合消息: 根据Gartner的报告,安全和风险管理领导者必须采取务实的、基于风险的方法来应对由全新漏洞带来的持续威胁。“Spectre”和“Meltdown”是针对过去20年制造的大多数计算机芯片内部潜在可利用漏洞实施的新一类攻击代号。
安全研究人员在2018年1月发现了三种主要的攻击变种。前两个变种被称为Specter,第三种变种为Meltdown,所有三种变种都涉及代码的推测性执行,以读取应该保护的内存以及后续基于通道的攻击来推断内存内容。
Gartner、知名分析师和Gartner研究员MacDonald表示:“不是所有的处理器和软件都以同样的方式容易受到这三种版本的影响,而且基于系统暴露于运行未知和不可信代码的风险会有所不同。风险是真实存在的,但通过一个清晰而务实的、基于风险的补救计划,安全和风险管理领导者可以为企业领导者提供信心,让他们认为这一风险是可管理的、并且正在解决中的。”
Gartner已经确定了安全领导者为降低风险可采取的七个步骤:
1、现代操作系统(OS)和管理程序依赖于结构化的、分层的权限模式,来提供安全隔离和分离。由于这种可利用的设计实施是在硬件中的——在操作系统和管理程序之下——所有上面的软件层都受到影响和易受攻击的。但是,只能读取内存,不能对其进行更改。利用这些漏洞需要在目标系统上引入和执行不可信的代码,这在管理良好的服务器或设备(如网络设备或存储设备)上是非常困难的。不急于打“恐慌补丁”是有一定好处的:早期的补丁与某些防病毒产品产生冲突,会锁定Windows桌面。有些是与使用AMD微处理器相冲突,所以系统无法启动。其他早期补丁的性能影响已被后续补丁进行了改进。
2、几乎每个现代IT系统都会受到一定程度的影响。由于Y2K的脆弱性影响了很多系统——台式机、移动设备、服务器、虚拟机、网络和存储设备、操作技术和物联网设备——都需要一个有计划的、分阶段的补救措施。对于安全领导者来说,一开始必须是受影响系统的清单。在某些情况下,应对风险的决策并不是打补丁。但是在所有情况下,安全领导者的路线图都将是清单。对于每个系统来说,需要详细的数据库或电子表格来跟踪设备或工作负荷、微处理器版本、固件版本和操作系统。
3、漏洞是无法直接远程利用。成功的攻击要求攻击者在系统上执行代码。因此,所有系统上的应用控制和白名单大大降低了未知代码执行的风险。然而,共享的基础架构即服务(IaaS)在云提供商更新其底层固件和管理程序层(领先供应商都会做的)之前尤为脆弱。强大的责任分离(SOD)和特权账户管理(PAM)降低了引入不可信代码的风险。
4、在制定补救战略时,Gartner建议将战略分为不同的优先阶段,因为风险、性能影响和潜在的硬件升级在不同用例之间差异很大。从风险最高的系统开始——桌面、虚拟桌面基础架构(VDI)、智能手机和面向外部的服务器。
5、信息安全领导者需要为某些适当不打补丁的场景做好准备。在某些情况下,这是由于旧系统上缺少补丁。在其他情况下,性能影响不会被风险的降低所抵消,所以不用打补丁。即使对于一些管理良好的服务器来说,也可能需要放弃打补丁以保护性能,直到后续的修补程序具有明显可接受的影响。但是,对于服务器工作负载来说,当各项性能参数允许时,Gartner建议进行修补和固件升级。
6、对于未打补丁或部分打补丁了的系统来说,采取多种缓解控制措施可以降低风险。要解决的唯一最重要的问题是,限制将未知代码或不可信代码放置到设备上的能力。通过这一点,可显着降低风险,因为攻击是需要在本地执行代码的。对于所有系统来说,这意味着采取“默认拒绝”的方法,应用控制和白名单大大降低了风险。如果已知了公开的攻击,那么传统的端点防护平台和基于网络的入侵防御系统也可以降低风险。
7、Spectra和Meltdown代表了一种全新的漏洞,这仅仅是个开始。潜在的可开发实施将持续多年。
MacDonald表示:“最终,彻底消除可利用的实施所需的硬件预计要到12-24个月之后才会有,因此系统清单将成为未来缓解风险工作的关键路线图。为了减少未来针对各种类型漏洞的攻击风险,我们长期以来一直主张在服务器上使用应用控制和白名单,如果你还没有这样做,现在是时候对服务器工作负载保护采取默认的拒绝方式——无论这些工作负载是物理的、虚拟的、基于公共云还是基于容器的,这都应该成为2018年所有安全和风险管理领导者的标准做法和优先事项。”
好文章,需要你的鼓励
数据分析平台公司Databricks完成10亿美元K轮融资,公司估值超过1000亿美元,累计融资总额超过200亿美元。公司第二季度收入运营率达到40亿美元,同比增长50%,AI产品收入运营率超过10亿美元。超过650家客户年消费超过100万美元,净收入留存率超过140%。资金将用于扩展Agent Bricks和Lakebase业务及全球扩张。
Meta与特拉维夫大学联合研发的VideoJAM技术,通过让AI同时学习外观和运动信息,显著解决了当前视频生成模型中动作不连贯、违反物理定律的核心问题。该技术仅需添加两个线性层就能大幅提升运动质量,在多项测试中超越包括Sora在内的商业模型,为AI视频生成的实用化应用奠定了重要基础。
医疗信息管理平台Predoc宣布获得3000万美元新融资,用于扩大运营规模并在肿瘤科、研究网络和虚拟医疗提供商中推广应用。该公司成立于2022年,利用人工智能技术提供端到端平台服务,自动化病历检索并整合为可操作的临床洞察。平台可实现病历检索速度提升75%,临床审查时间减少70%,旨在增强而非替代临床判断。
上海AI实验室发布OmniAlign-V研究,首次系统性解决多模态大语言模型人性化对话问题。该研究创建了包含20万高质量样本的训练数据集和MM-AlignBench评测基准,通过创新的数据生成和质量管控方法,让AI在保持技术能力的同时显著提升人性化交互水平,为AI价值观对齐提供了可行技术路径。